Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 24 из 32<  1 ... 21  22  23  24  25  26  27 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  vault_dll

Member
Статус: В сети
Регистрация: 13.01.2007
Откуда: Google
Фото: 77
Cool'D
Да, всё верно.
Эту информацию можно в FAQ добавить.

Насчёт последней проблемы:
vadjji писал(а):
Jan/26/2020 12:00:22 A4:E9:75:15:95:99@wlan2: reassociating
Jan/26/2020 12:00:22 A4:E9:75:15:95:99@wlan2: disconnected, ok
Jan/26/2020 12:00:22 A4:E9:75:15:95:99@wlan2: connected, signal strength -66

Это похоже на баг телефона, если описанные выше решения не помогут.

У меня на Samsung Note 4 та же самая фигня на 5 Ghz. На 2.4 работает стабильно.

Хотя, я и использую 5 Ghz, этой проблемы уже как недели 2-3 не замечал.

Осталось только с Firewall'ом RoS'а разобраться. Давно я с iptables не работал.

_________________
Бывает...

  DKR

Member
Статус: Не в сети
Регистрация: 18.06.2009
Откуда: СССР
Фото: 66
Cool'D писал(а):

По умолчанию - 10 минут, что я могу объяснить как раз таки устройставами, которые при дисконекте упорно хотят новый IP, и соответственно, если у вас много клиентов или это точка/ки доступа (или capsman) - они просто забьют весь диапазон адресов.


Странно 49144 и дома все работает и iOS ( 3 устройства ) и Android, win ещё 6 устройств...

В офисе Capsman там порядка 15-20 устройств именно по wifi как MacBookи и Iphone так и Android, Win - DHSP в стандартных 10 минутах и проблем ещё ни разу не было, А эти устройства периодически переподключаются бывает по 10-15 раз в день...

Но раз есть такие проблемы и кому то помогло то возможно!

_________________
Не пытайтесь встретиться с Богом, смерть - это надолго....

  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
DKR потому что это именно баг, со своим багрепортом и специальными условиями его появления. Само собой никто не пытается знать и изучать все баги конкретного производителя и конкретных моделей, это бесполезная трата времени.

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Добрый день, валяется неиспользуемый RB951G. Хочу попробовать задействовать его в роли wi-fi рипитера. Как лучше это сделать ? Почитал про capsman, но не понял, нужно ли подключать кабелем к основному раутеру или не обязательно ?
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
elek писал(а):
Почитал про capsman, но не понял, нужно ли подключать кабелем к основному раутеру или не обязательно ?


по проводу
  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Cool'D
Настройка рипитера единственный вариант ?Как-то так настраивать ?
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Реально сделать так?
Микротик получает интернет от провайдера, но гонит его через другой интерфейс к которому подключена Raspberry Pi с Wireguard подключенным к VPN, а затем уже передает результат в локальный бридж другим устройствам?
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
elek писал(а):
Настройка рипитера единственный вариант ?Как-то так настраивать ?


Это лучше делать с 2 wlan + норм процом типа hap ac2/cap ac - на одном wlan будет печалька по скорости.

Добавлено спустя 58 секунд:
Kuja писал(а):
Микротик получает интернет от провайдера, но гонит его через другой интерфейс к которому подключена Raspberry Pi с Wireguard подключенным к VPN, а затем уже передает результат в локальный бридж другим устройствам?


Зачем так сложно и какой смысл ?
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Cool'D
На Микротике нет OpenVPN или поддержки WireGuard. Поднимать Meta ресурсов не хватит.
Мне нужен VPN для нормального открытия всех сайтов. Но менять роутер не хочу. Мне нужен своего рода туннель. Например я могу сделать список IP которые надо форвардить на WireGuard поднятый на малине, а не весь трафик.

Я посмотрел список железок на которых можно накатить OpenWRT и он не впечатлил. Это либо убогое старье, либо очень переоцененное железо, либо надо сидеть ковырять плату для перепрошивки.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
На Микротике нет OpenVPN


В смысле нет? Там есть и сервер и клиент (вроде даже на древних железках)
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Cool'D

Currently unsupported OpenVPN features:

UDP mode
LZO compression
TLS authentication
authentication without username/password

Не подходит.
  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Cool'D писал(а):
Это лучше делать с 2 wlan + норм процом типа hap ac2/cap ac - на одном wlan будет печалька по скорости.

В общем лучше купить отдельный рипитер ? Просто есть hAP ac2 в роли раутера и валяется RB951G. В одной из комнат wi-fi почти не ловит, тянуть кабель просто негде, так вот думал использовать RB951G в роли рипитера. Смотрю cAP/Cap lite тоже используют сетевой кабель, для подключения. Чего посоветуешь взять ?
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
elek писал(а):
RB951G


Попробовать можно, но вопрос будет в скоростях.

Добавлено спустя 10 минут 43 секунды:
Kuja писал(а):
TLS authentication


это сильно критично?
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Cool'D
Конечно сильно. Без этого работать соединение с провайдером VPN не будет. А другой провайдер VPN не нужен.

Из за того, что микротик долго рожают функционал приходится городить.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Без этого работать соединение с провайдером VPN не будет


провайдер конфиг без tlsа не может сделать?
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Не может. Так сделано, так надо.
Это между прочим одни из самых лучших впн.
  vault_dll

Member
Статус: В сети
Регистрация: 13.01.2007
Откуда: Google
Фото: 77
Kuja писал(а):
Я посмотрел список железок на которых можно накатить OpenWRT и он не впечатлил. Это либо убогое старье, либо очень переоцененное железо, либо надо сидеть ковырять плату для перепрошивки.

Ну так подними виртуалку из OpenWRT, выдели мощей сколько надо и реализуй.
Заодно протестируешь, как оно будет работать.
В чём проблема?

_________________
Бывает...

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Это между прочим одни из самых лучших впн.


а кто именно?
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
vault_dll
Я уже писал выше, что метароутер не вариант. Ресурсов не хватит и это то ещё глюченное г.

Cool'D
Mullavad
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Mullavad

мб проще какой нить vps купить и туда накатить чем кому то платить за vpn?
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 24 из 32<  1 ... 21  22  23  24  25  26  27 ... 32  >
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan